Indicadores de Ataque x Indicadores de Comprometimento: qual a diferença?

Indicadores de Ataque x Indicadores de Comprometimento: qual a diferença? O nível de ameaça nunca foi tão alto para as organizações encarregadas de proteger dados valiosos. De fato, como atestam as manchetes  recentes, nenhuma empresa ou agência está completamente imune a ataques direcionados de adversários persistentes e qualificados.

O sucesso sem precedentes desses ataques contra organizações grandes e bem equipadas em todo o mundo levou muitos executivos de segurança a questionar a eficácia das defesas em camadas tradicionais como sua proteção primária contra ataques direcionados. Ao mesmo tempo, muitas organizações começaram a revisar suas melhores práticas de segurança antes que sofram um ciberataque debilitante.

Com base no uso extensivo da plataforma de proteção de endpoint de última geração da CrowdStrike para detectar e impedir ataques sofisticados contra grandes organizações, a equipe interna de especialistas em segurança, investigadores de adversários, analistas de inteligência e profissionais de resposta à incidentes da CrowdStrike reuniu seus conhecimentos para produzir este valioso guia e checklist para aprimorar proativamente seu procedimento corporativo de segurança da informação e, ao mesmo tempo, evitar erros e armadilhas comuns.

A diferença fundametal entre IOCs e IOAs, como o gráfico abaixo ilustra, é que os IOCs constituem uma postura reativa. A presença de malware, assinaturas, exploits, vulnerabilidades e endereços IP caracteriza as evidências deixadas para trás quando ocorre um ataque. Os IOAs, por outro lado, representam uma postura proativa, na qual os defensores procuram sinais de alerta precoce de que um ataque pode estar em andamento, como execução de código, persistência, sigilo, controle de comando e movimento lateral dentro de uma rede. É a diferença entre chegar a cena do crime após o crime ter ocorrido e tentar recriá-lo com base em evidências deixadas para trás, em vez de estar atento aos indicadores mais sutis de que um ataque é iminente ou já está em andamento.

Considere uma analogia com o mundo real

Quando um banco é assaltado, as autoridades chegam após o crime ter ocorrido e começam a coletar evidências. Por exemplo,
as câmeras de segurança podem revelar que o ladrão de banco dirigia uma van roxa, usava um boné do Baltimore Ravens e que usou nitrogênio líquido para invadir o cofre. Esses pontos de evidência são todos indicadores de que o banco foi comprometido. O dinheiro se foi, mas a trilha de evidências pode eventualmente levar ao criminoso – a menos que o criminoso mude seu modus operandi (MO). O que acontece quando o mesmo indivíduo dirige um carro vermelho para o próximo crime, usa um chapéu de cowboy e usa um pé de cabra para acessar o cofre? O resultado é outro assalto bem-sucedido, porque a equipe de vigilância confiou em Indicadores de Comprometimento (IOC) que refletiam um perfil desatualizado.

No entanto, se os investigadores estivessem usando uma abordagem baseada em Indicadores de Ataque (IOA), o resultado poderia ser muito diferente. Por exemplo, um ladrão esperto começaria “inspecionando” o banco, fazendo um reconhecimento e entendendo quaisquer vulnerabilidades defensivas. Depois de determinar o melhor horário e tática para atacar, ele a seguir entra no banco. O ladrão desativa o sistema de segurança, se move em direção ao cofre e tenta decifrar sua combinação. Se a equipe protegendo o banco pudesse detectar estes comportamentos que normalmente precedem um assalto bem-sucedido – em outras palavras, se eles fossem capazes de identificar Indicadores de Ataque (IOAs) – eles poderiam ter frustrado a tentativa antes que um único centavo fosse removido do banco.

No caso de um ataque à informações, os IOCs podem incluir uma variedade de evidências eletrônicas deixadas para trás, como um hash MD5, um domínio C2 ou endereço IP codificado, uma chave de registro, nome do arquivo etc. Esses IOCs estão constantemente mudando, tornando impossível uma abordagem proativa para a segurança da empresa. Como os IOCs representam um método reativo de rastreamento dos bandidos, quando você encontra um IOC, há uma alta probabilidade de que você já tenha sido comprometido.

“Indicadores de Ataque fornecem gravação e visibilidade em tempo real”

Por outro lado, uma IOA no mundo cibernético representa uma série de ações que um adversário deve realizar para ter sucesso. Se detalharmos a tática mais comum – e que ainda é a de maior sucesso – de determinados adversários, o spear phishing, podemos ilustrar esse ponto.

Um email de phishing bem-sucedido deve convencer o alvo a clicar em um link ou abrir um documento que infectará a máquina. Uma vez que a máquina tenha sido comprometida, o invasor executa silenciosamente outro processo, se esconde na memória ou no disco e mantém a persistência durante as reinicializações do sistema. O próximo passo é fazer contato com um site de comando e controle, informando seus controladores que ele aguarda mais instruções.

Os IOAs estão relacionados com a execução dessas etapas, o que expõe a intenção do adversário e os resultados que ele estão tentando alcançar. As IOAs não estão focados nas ferramentas específicas usadas pelos criminosos para atingir os objetivos e, portanto, são mais adaptáveis às mudanças constantes dessas táticas que eles empregam.

Monitorando esses pontos de execução, reunindo e analisando os indicadores, podemos determinar como um agente obtém acesso à rede com sucesso e podemos inferir suas intenções. Não é necessário nenhum conhecimento prévio das ferramentas ou malwares (IOCs) específicos para interromper o ataque enquanto ele ainda está em andamento. De fato, os IOAs podem detectar ataques que não têm nenhum malware presente.

 

Indicadores de Ataque

Indicadores de Ataque fornecem gravação e visibilidade em tempo real.

Um subproduto da abordagem de IOA é a capacidade de coletar e analisar exatamente o que está acontecendo na rede em tempo real. A própria natureza de observar os comportamentos conforme são executados é equivalente a observar uma câmera de vídeo e acessar um registro de dados de voo em seu ambiente. Ao registrar todas as ações conforme elas ocorrem, as IOAs mostram exatamente como um adversário entrou no seu ambiente, acessou arquivos, descarregou senhas, se moveu lateralmente na sua rede e, eventualmente, exfiltrou seus dados.

A equipe de inteligência da CrowdStrike documentou o seguinte exemplo de atividade atribuído a um agente chinês. O exemplo a seguir destaca como a atividade de um determinado adversário escapou das defesas existentes.

 

ESTE ADVERSÁRIO USA A SEGUINTE ESTRATÉGIA:

{1} Malwares na memória – nunca grava no disco

{2} Uma ferramenta de TI conhecida e aceitável – Windows PowerShell com código de linha de comando

{3} Limpa os logs depois de suas ações, sem deixar vestígios

Vamos explorar os desafios que esta estratégia apresenta para outras soluções de endpoint:

Antivírus – como o malware nunca é gravado no disco, a maioria das soluções AV programadas para varredura sob demanda não será alertada. A varredura sob demanda é acionada apenas com uma gravação ou acesso de arquivo. Além disso, organizações mais proativas realizam uma varredura completa apenas uma vez por semana, devido ao impacto no desempenho para o usuário final. Se os defensores estivessem executando essa varredura completa e se o fabricante de AV pudesse verificar a memória com uma assinatura atualizada, eles poderiam fornecer um alerta dessa atividade.

Soluções AV 2.0 – são soluções que usam machine learning e outras técnicas para determinar se um arquivo é bom ou ruim. O PowerShell é uma ferramenta legítima de administração do sistema Windows que não é (nem deve ser) identificada como maliciosa. Portanto, essas soluções não alertarão os clientes quanto a esse comportamento.

Whitelisting – O Powershell.exe é uma ferramenta de TI conhecida e teria permissão para ser executada na maioria dos ambientes, escapando de soluções de whitelist que podem estar em vigor.

Soluções de Varredura de IOC – Já que esse adversário nunca grava no disco e limpa tudo depois de concluir o trabalho, pelo que procuraríamos? IOCs são artefatos conhecidos e, nesse caso, não há artefatos a serem descobertos. Além disso, a maioria das soluções baseadas em análises forenses requer “varreduras” periódicas do sistema alvo e, se um adversário puder agir entre as “varreduras“, ele seguirá sem ser detectado.

Proteção de Próxima Geração 

Na CrowdStrike, sabemos que nossos clientes enfrentam muito mais do que apenas um problema de malware. De fato, estudos indicam que 60% dos incidentes de ataque a dados nem sequer envolvem o uso de malware. A verdadeira proteção de endpoint de última geração aborda toda a gama de ataques – conhecidos e desconhecidos, com ou sem malware – combinando a proteção de endpoint convencional baseada em IOCs com a análise de IOAs. Quando entregue em tempo real por meio da arquitetura em nuvem, a tecnologia IOA adiciona análises contextuais e comportamentais para detectar e impedir ataques que as tecnologias convencionais de defesa em profundidade não conseguem sequer ver.

Essa abordagem inovadora permite aos profissionais de segurança corporativa discernir rapidamente as táticas, técnicas e procedimentos usados por invasores sofisticados. Dessa forma, podemos determinar quem é o adversário, o que eles estão tentando acessar e por quê.

 

CrowdStrike

A CrowdStrike™ é uma provedora líder de inteligência de ameaças, serviços de resposta pré e pós-incidentes e proteção de endpoint de última geração. CrowdStrike Falcon é a primeira plataforma verdadeiramente baseada em SaaS (Software como Serviço) para proteção de endpoint de última geração que detecta, previne e responde a ataques em qualquer estágio – até mesmo invasões livres de malware. O sensor de endpoint leve e patenteado da Falcon pode ser implantado em mais de 100.000 endpoints em horas, oferecendo visibilidade de bilhões de eventos em tempo real.

A CrowdStrike opera em um modelo de negócios baseado em assinatura altamente escalonável que permite aos clientes a flexibilidade de usar a “CrowdStrike-como-Serviço” para multiplicar a eficácia e o expertise de sua equipe de segurança com visibilidade, monitoramento e resposta de endpoint 24/7. 

 

Saiba e faça uma avaliação completa

Solicite uma demonstração da plataforma CrowdStrike Falcon e aprenda a detectar, prevenir e responder a ataques a qualquer momento – até mesmo invasões livres de malware, preencha o formulário abaixo e deixe seu contato que a MindSec, representante oficial da CrowdStrike no Brasil entrará em contato.

 

Fonte: © 2020 CrowdStrike, Inc. 

 

 

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!